staging.inyokaproject.org

Hallo, wie hier besprochen ein neuer alter Artikel zum Thema Passwörter.

@Wikiteam oder @Webteam Sind Umlaute im Artikelnamen eigentlich ok?

Weitere Überarbeitungen dann bitte hier im Artikel.

Grüß BillMaier

BillMaier schrieb:

@Webteam Sind Umlaute im Artikelnamen eigentlich ok?

Also technisch ist das kein Problem. Im Index gibt es ja mehr Artikel mit Umlauten.

Viele Grüße
Chris

Danke, ja, hätt ich auch selbst schauen können 😬

Gruß!

Hi, habe hier noch die Themen Verschlüsselung und 2-Faktor-Auth angerissen. Insbesondere die Anmerkungen zur "Verschlüsselung" dürfen gerne im Artikel korrigiert werden - hier fehlt mir noch die Praxiserfahrung.

Gruß BillMaier

Artikel ist im Wiki. Korrekturen sind wie immer willkommen.

Wiki Sicherheits-Einmaleins/Passwörter schrieb

Regelmäßige Änderung

Ein Passwort sollte regelmäßig geändert werden. Man sollte sich angewöhnen, Passwörter auf wichtigen Seiten regelmäßig zu ändern, um den Schaden durch unbemerkt bekannt gewordene Passwörter einzugrenzen.

Genau das wird eigentlich nicht mehr empfohlen, siehe:

https://heise.de/-3613327

https://heise.de/-3176493

https://www.golem.de/news/imho-tag-der-unsinnigen-passwort-ratschlaege-1802-132533.html

https://www.golem.de/news/spotify-einfach-mal-passwoerter-aendern-1609-123010.html

https://www.techbook.de/easylife/web/darum-sollten-sie-ihr-passwort-nur-selten-aendern

Ich sehe das jetzt nicht so extrem, wie es in den Artikeln dargestellt wird. Jeder muss selbst überlegen, welche Vorgehensweise wo am meisten Sinn macht. Eine einheitliche Empfehlung ist schwer. Wenn man die Passwörter sowieso mit einem Passwortmanager generiert und verwaltet, bringt gelegentliches anlassloses Wechseln vermutlich keine nennenswerte zusätzliche Sicherheit, schadet aber auch nicht. Wenn regelmäßiges Wechseln der Passwörter jedoch dazu führt, dass die Passwörter immer einfacher (d. h. schlechter) werden, weil man sie sich sonst nicht merken kann, ist regelmäßiges Wechseln definitiv schädlich. Und genau das dürfte die Regel sein.

Ich persönlich verwende für private Webpasswörter KeePassX. Da kann man auch lange und komplexe Passwörter verwenden und diese trotzdem problemlos wechseln. Für alle Passwörter, die ich mir im Kopf merken muss (z. B. Festplattenverschlüsselung, Login-Passwort am PC, Masterpasswort für KeePassX, Firmenpasswörter etc.) denke ich mir einmal ein sicheres Passwort aus, dass ich dann temporär aufschreibe und an einem sicheren Ort verwahre. Das Passwort hat i. d. R. 15 bis 20 Zeichen, einzelne auch bis zu 30 Zeichen, und besteht aus Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen. Wenn ich mir sicher bin, dass ich das Passwort nicht mehr vergesse, wird der Zettel mit dem Passwort ggf. vernichtet. Diese Passwörter ändere ich allerdings nur dann, wenn ich konkreten Grund zu der Annahme habe, dass das Passwort möglicherweise kompromittiert wurde. Ich gehe aber davon aus, dass die Passwörter auch in ein oder zwei Jahren noch sicher sind, somit macht es keinen Sinn, diese regelmäßig zu ändern. (Jedes Passwort wird selbstverständlich nur einmal für einen Zweck verwendet.)

Ich würde mich freuen, würde Meinungen zu hören. Dann können wir vielleicht zusammen eine bessere Empfehlung schreiben.

Viele Grüße und Frohe Ostern!

Beforge

Das regelmäßige ändern von Passwörtern bringt auch meiner Ansicht nach keinen Security Benefit, unter der Annahme das Passwörter nicht im Team oder unter Kollegen ausgetauscht werden.

mfg Stefan

encbladexp schrieb:

[...] unter der Annahme das Passwörter nicht im Team oder unter Kollegen ausgetauscht werden.[...]

Danke für den Hinweis, das ist in der Tat ein Spezialfall. Wenn man das Passwort nur kurzfristig weitergegeben hat, sollte man das Passwort danach sowieso zeitnah ändern.

Wenn ein Passwort grundsätzlich mehren Leuten bekannt ist, muss man sich m. E. bewusst sein, dass das Passwort damit den von einem selbst kontrollierbaren Bereich verlässt und irgendwann vielleicht auch Leuten bekannt ist, die es ursprünglich gar nicht kennen sollten. Das wird noch einmal verstärkt, wenn sich die Zusammensetzung des Team ändert. Deshalb muss man sich immer für den konkreten Anwendungszweck ein Konzept überlegen.

Beforge schrieb:

Danke für den Hinweis, das ist in der Tat ein Spezialfall. Wenn man das Passwort nur kurzfristig weitergegeben hat, sollte man das Passwort danach sowieso zeitnah ändern.

Berufserfahrung: Passwort vor der Weitergabe in was temporäres ändern, anschließend nach dem "Thema" wieder zurück ändern oder direkt in was "besseres". Hintergrund: Gibst du ein Passwort weiter, dann hast du den ehemaligen Personenkreis und zusätzlich den neuen Personenkreis. Gibst du nur ein temporär geändertes Passwort weiter, hast du nur den neuen Personenkreis und dich selbst als jemand der Unfug damit anstellen kann.

Wenn ein Passwort grundsätzlich mehren Leuten bekannt ist, muss man sich m. E. bewusst sein, dass das Passwort damit den von einem selbst kontrollierbaren Bereich verlässt und irgendwann vielleicht auch Leuten bekannt ist…

Praxis: Passwörter die einem Team bekannt sind, werden bei Veränderungen an diesem Team geändert.

mfg Stefan

encbladexp schrieb:[...]

Praxis: Passwörter die einem Team bekannt sind, werden bei Veränderungen an diesem Team geändert.[...]

Sollte so sein. Wird aber leider nicht immer so praktiziert.

Wir müssen in der Firma jeden Monat unser Passwort ändern. Und wir dürfen keins verwenden, was wir vorher schon mal benutzt haben. Führt dazu, dass ich jeden Monat eine Zahl ändere:) Sinnvoller wäre es wohl, die Mindestlänge des Passwortes mal auf 12 Zeichen zu setzen, statt auf 6 oder 8... Aber das ist ein anderes Thema.

Beforge schrieb:

Wir müssen in der Firma jeden Monat unser Passwort ändern. Und wir dürfen keins verwenden, was wir vorher schon mal benutzt haben.

Dieses Vorgehen halte ich für groben Unfug. Das Thema wird bei uns zyklisch immer wieder mal diskutiert. Häufig ist dies jedoch eine Forderung, um nach gewissen Richtlinien "compliant" zu sein.

Führt dazu, dass ich jeden Monat eine Zahl ändere:) Sinnvoller wäre es wohl, die Mindestlänge des Passwortes mal auf 12 Zeichen zu setzen, statt auf 6 oder 8... Aber das ist ein anderes Thema.

Da stimme ich dir zu. Es ist allerdings immer wieder erschreckend, wie viele Anwendungen und Dienste heute noch immer in Betrieb sind, die keine Passwörter länger sechs bzw. acht Zeichen unterstützen. Häufig handelt es sich dabei um so tief integrierte Systeme, dass man sie nicht mal eben im Laufe von ein bis zwei Jahren austauschen kann.

Vielen Dank für Eure Anmerkungen. Ich habe den Abschnitt zur Passwort-Änderung etwas überarbeitet und mir erlaubt, die wunderbare Formulierung

Beforge schrieb:

Wenn regelmäßiges Wechseln der Passwörter jedoch dazu führt, dass die Passwörter immer einfacher (d. h. schlechter) werden, weil man sie sich sonst nicht merken kann, ist regelmäßiges Wechseln definitiv schädlich.

1:1 in den Artikel zu schreiben.

Viele Grüße

BillMaier

Danke! So ist das wesentlich besser:)

Danke dir 👍

Mir ist gerade aufgefallen: Wieso heißt der Thread eigentlich noch "Baustelle"? Der Artikel ist doch schon im Wiki:)